Microsoft、2020年2月の更新を発表 ～「IE」のゼロデイ脆弱性などを修正

2020年2月のセキュリティ更新プログラム

　米Microsoftは2月11日（現地時間）、同社製品を対象とした月例セキュリティ更新プログラムを公開した。現在、“Windows Update”や“Microsoft Update Catalog”から入手可能。今回のアップデートは、以下の製品が対象となっている。

• Microsoft Windows
• Microsoft Edge (EdgeHTML-based)
• Microsoft Edge (Chromium-based)
• ChakraCore
• Internet Explorer
• Microsoft Exchange Server
• Microsoft SQL Server
• Microsoft Office and Microsoft Office Services and Web Apps
• Windows Malicious Software Removal Tool
• Windows Surface Hub

Windows 10およびWindows Server 2016/2019、Microsoft Edge

　最大深刻度は“緊急”（リモートでコードが実行される）。

• Windows 10 バージョン 1909：KB4532693
• Windows 10 バージョン 1903：KB4532693
• Windows 10 バージョン 1809：KB4532691
• Windows Server 2019：KB4532691
• Windows Server 2016：KB4537764

　なお、“バージョン 1909”と“バージョン 1903”の更新プログラムの内容は同一（参考記事）。「エクスプローラー」で検索ボックスが反応しなくなる不具合の修正も含まれている。

Windows 7/8.1、Windows RT 8.1およびWindows Server 2008/2008 R2/2012/2012 R2

　最大深刻度は“緊急”（リモートでコードが実行される）。

• Windows 8.1/Windows Server 2012 R2 マンスリー ロールアップ：KB4537821
• Windows Server 2012 マンスリー ロールアップ：KB4537814
• Windows Server 2012 セキュリティのみ：KB4537794

　企業向けの有償延長サポート“拡張セキュリティ更新プログラム（ESU）”に加入している顧客にはWindows 7とWindows Server 2008/2008 R2向けのパッチも提供されているが、それ以外のユーザーに対する自動更新はないようだ。更新プログラム「KB4534310」を適用した一部のWindows 7/Server 2008 R2環境で壁紙が正常に表示されない問題のパッチは手動で適用する必要がある。

Internet Explorer/Microsoft Edge

　「Internet Explorer」では、「jscript.dll」におけるメモリ破損のゼロデイ脆弱性（CVE-2020-0674）が修正されているので注意。すでに悪用も確認されている。最大深刻度は“緊急”（リモートでコードが実行される）。

• Cumulative security update for Internet Explorer: February 11, 2020

　なお、Windows Server 2012/Embedded 8 Standard向けの「Internet Explorer 10」パッチは今回が最後になる見込み。

　一方、「EdgeHTML」ベースの古い「Microsoft Edge」では、7件の脆弱性が修正された。

• CVE-2020-0710（緊急：リモートでコードが実行される）
• CVE-2020-0711（緊急：リモートでコードが実行される）
• CVE-2020-0712（緊急：リモートでコードが実行される）
• CVE-2020-0713（緊急：リモートでコードが実行される）
• CVE-2020-0767（緊急：リモートでコードが実行される）
• CVE-2020-0663（重要：特権の昇格）
• CVE-2020-0706（重要：情報漏洩）

　「Chromium」ベースの新しい「Microsoft Edge」は、“パッチチューズデー”とは関係なくアップデートされている。現在の最新版は、7日にリリースされたv80.0.361.48。

• ARM64にもネイティブ対応した「Microsoft Edge 80」が安定版に ～脆弱性の修正は37件 - 窓の杜

Microsoft Office、Microsoft Office ServersおよびWeb Apps、SharePoint

　最大深刻度は“重要”（リモートでコードが実行される）。詳細は以下のドキュメントを参照のこと。

• Release notes for Office 365 ProPlus Security Updates
• February 2020 updates for Microsoft Office

　なお、「Office 2016 for Mac」および「Office 2010」のサポートは今年10月13日までだ。できるだけ早い最新版への移行が望ましい。

Microsoft Exchange Server

　「Exchange Server」関連では、2件の脆弱性が修正された。「Exchange Server 2010」以降に影響する。

• CVE-2020-0688（重要：リモートでコードが実行される）
• CVE-2020-0692（重要：特権の昇格）

Microsoft SQL Server

　「Microsoft SQL Server」関連の修正は1件。「Microsoft SQL Server 2012」以降が対象となっている。

• CVE-2020-0618（重要：リモートでコードが実行される）

そのほかの製品

　そのほかにも、以下の製品に対しセキュリティアップデートが提供されている。

• Microsoft Surface Hub：1件（重要：セキュリティ機能のバイパス）
• Windows Malicious Software Removal Tool：1件（重要：特権の昇格）

　「Adobe Flash Player」もアップデートされており、自動更新により1件の致命的な脆弱性が修正される。

• 「Flash」や「Acrobat/Acrobat Reader」に脆弱性～Adobe、月例セキュリティ情報を発表 - 窓の杜